Så hanterar du webbformulär enligt GDPR – dataskyddsförordningen

I de flesta formulär som du publicerar på den din webbplats så vill du samla in personuppgifter som exempelvis namn och kontaktuppgifter. Det innebär att GDPR träder i kraft och det lite mer att tänka på när du hanterar formulär. Den som publicerar formulär som samlar in personuppgifter måste veta vad GDPR innebär, vilka rutiner den ska följa för att uppfylla lagen och hur organisationen arbetar med dataskyddsförordningen.

2018 kom den nya dataskyddsförordningen, även kallad GDPR, (General Data Protection Regulation), som reglerar hur du får hantera personuppgifter och vilka rättigheter den som blir registrerad har. GDPR att ersätte personuppgiftslagen (PUL) den 25 maj 2018, men är mer omfattande än vad personuppgiftslagen är.

Den nya dataskyddsförordningen är gemensam i alla EU/EES-länder och påverkar alla som hanterar personuppgifter om identifierbara personer. Det innebär att alla företag, organisationer och de flesta myndigheter berörs av GDPR. Myndigheter som hanterar personuppgifter som ingår i brottsbekämpande verksamhet samt säkerhets- och underrättelsetjänster är undantagna lagen.

Varje formulär som samlar in personuppgifter måste följa GDPR. Det innebär att du ska kunna stödja dig på en laglig (även kallad rättslig) grund för insamlingen och ha ett förutbestämt ändamål med ditt formulär. Du måste också se till att dina rutiner för hur du samlar in och bearbetar informationen överensstämmer med lagen. Om Integritetsskyddsmyndigheten, IMY vill kontrollera din verksamhet ska du kunna visa dokumentation på att du uppfyller lagen i alla hänseenden.

När du skapar ett webbformulär där du ska samla in personuppgifter måste du se till att det finns en laglig grund för ditt formulär. Det är bara lagligt att behandla uppgifter om du kan hävda minst en laglig grund.

GDPR har sex lagliga grunder:

När det kommer till webbformulär handlar det kanske oftast om samtycke, ingå och fullgöra avtal eller myndighetsutövning.

Samtycke innebär att den registrerade lämnar sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål, till exempel att få nyhetsbrev av er eller finnas med namn och bild på er webbplats. Samtycke ska alltid vara frivilligt och ska kunna återkallas lika lätt som man gav dem.

Du ska kunna bevisa i efterhand att du har fått ett samtycke från en person. Därför behöver du spara de samtycken du samlar in och även ha kontroll på vilken information du gav när samtycket gavs. Du bör därför ha någon sorts rutiner och system för att ha översikt och kontroll på de samtycken du får in.

Ingå eller fullgöra ett avtal innebär att du måste behandla personuppgifterna för att kunna ingå eller fullgöra ett avtal med den registrerade, till exempel kortuppgifter för att personen ska kunna handla av dig.

Myndighetsutövning är när du måste behandla personuppgifter som ett led i myndighetsutövning, till exempel vid e-tjänster för att ansöka om skolplats eller liknande.

Din organisation behöver ett register för alla personuppgifter ni samlar in. Där ska ni ange bland annat var ni registrerar, varför, vilken rättslig grund ni stödjer er på, hur länge ni sparar uppgifterna och så vidare. Innan du publicerar formuläret ska du ha fyllt i det här registret.

När du samlar in uppgifter om en person så måste du informera personen i fråga. I förordningen finns en lång lista över vilken information som ska ges, men sammanfattningsvis ska du tala om

Det kan vara lockande att göra en standardtext och publicera vid alla formulär, men tänk på att du kanske har olika lagliga grunder eller hanterar personuppgifterna olika vid olika tillfällen. Då behöver du ha olika texter för varje tillfälle.

Rekommendationen är att besökaren bör ge sitt samtycke genom en kryssruta bredvid texten. Det anses inte som samtycke om det finns en text som säger att besökaren godkänner villkoren genom att skicka in formuläret, eller liknande lösningar.

Kom ihåg att du inte får använda de insamlade personuppgifterna för helt nya syften och användningsområden än de du informerade om när du samlade in personuppgifterna.

Många CMS har funktionen att det mejlar ut uppgifter när någon har fyllt i ett formulär. En sådan lösning får du svårt att kontrollera var personuppgifterna du samlar in hamnar och får därför också svårt att efterleva GDPR:s regelverk. Redan om någon vidarebefordrar ett mejl har du tappat kontrollen. Det är därför bättre att ha en lösning där du sparar alla uppgifter på en plats enbart.

Din organisation ska ha en rutin för hur ni gallrar och raderar personuppgifter. Glöm inte att uppdatera rutinerna med just ditt formulär. Rutinerna ska finnas dokumenterade för en eventuell kontroll, men så klart också för er egen skull. Där ska det stå vilka system ni rensar i, hur ofta, och hur ni går tillväga när ni rensar.

När du ska samla personuppgifter via ett webbformulär så behöver du tänka till för att få det rätt. Du behöver tänka igenom och hitta en laglig grund för insamlingen, uppdatera den centrala registerförteckningen, skapa rätt informationstexter och uppdatera rutiner för lagringstid och gallring.

Därför kan du som webbpublicerar kanske behöva hjälp innan du publicerar ett formulär. Om det finns någon i verksamheten som är ansvarig för personuppgifter, till exempel ett dataskyddsombud, behöver du stämma av med den hur ni ska bygga upp och hantera formuläret för att det ska följa GDPR.

Om du har ansvar för en webbavdelning innebär det här att du bör informera alla dina webbredaktörer om de nya rutinerna.

Rådgör gärna med era egna jurister innan ni inför ändringar. Mer information om GDPR hittar du på IMY, Integritetsskyddsmyndighetens webbplats